Exigences horizontales de cybersécurité pour les produits numériques UE
trait de séparation
Temps de lecture : 8 minutes
Le règlement européen 2019/1020 est relatif à la surveillance du marché et la conformité des produits. La proposition de règlement du parlement européen et du conseil concernant les exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques vise à introduire un ensemble de considérations relatives à l’ingénierie de la cybersécurité.
Un produit comportant des éléments numériques est définit par « tout produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels destinées à être mis sur le marché séparément »
Vers un cycle de vie de la cybersécurité et une approche de développement fondée sur les risques
Cette proposition de règlement est destinée à s’appliquer aux produits comportant des éléments numériques dont l’utilisation prévue ou raisonnablement prévisible comprend une connexion directe ou indirecte, logique ou physique, à un dispositif ou à un réseau.
En l’état actuel de la proposition, dont l’avancement peut être consulté sur la plateforme Lex-Europa, l’Article 10 dispose d’obligations incombant aux fabricants : un produit comportant des éléments numériques devra alors, sous réserve d’acceptation de cette proposition de règlement, démontrer que les produits auront été conçus, développés et fabriqués conformément à un ensemble d’exigences essentielles en matière de cybersécurité.
De plus, le respect de cette obligation se fera sur la base d’une évaluation des risques de cybersécurité au cours des phases de planification, de conception, de développement, de production, de livraison et de maintenance du produit.
Cette évaluation des risques de cybersécurité devra être portée à la documentation technique, dont le contenu sera également règlementé (Art. 23).
En l’état actuel de la proposition, dont l’avancement peut être consulté sur la plateforme Lex-Europa, l’Article 10 dispose d’obligations incombant aux fabricants : un produit comportant des éléments numériques devra alors, sous réserve d’acceptation de cette proposition de règlement, démontrer que les produits auront été conçus, développés et fabriqués conformément à un ensemble d’exigences essentielles en matière de cybersécurité.
De plus, le respect de cette obligation se fera sur la base d’une évaluation des risques de cybersécurité au cours des phases de planification, de conception, de développement, de production, de livraison et de maintenance du produit.
Cette évaluation des risques de cybersécurité devra être portée à la documentation technique, dont le contenu sera également règlementé (Art. 23).
Les exigences essentielles : l’analyse des risques relatifs à la cybersécurité
Une analyse systématique des risques relatifs à la cybersécurité doit être conduite dès lors que l’annexe I de la proposition de règlement dispose que les produits comportant des éléments numériques doivent être conçus, développés et fabriqués de manière à garantir un niveau de cybersécurité approprié en fonction des risques.
Ces produits :
Ces produits :
- sont mis à disposition sur le marché sans vulnérabilités exploitables connues ;
- sont mis à disposition sur le marché avec une configuration sécurisée par défaut, sauf accord contraire entre le fabricant et l'utilisateur professionnel en ce qui concerne un produit sur mesure comportant des éléments numériques, y compris la possibilité de réinitialiser le produit à son état d'origine ;
- doivent veiller à ce que les vulnérabilités puissent être corrigées par des mises à jour de sécurité, y compris, le cas échéant, par des mises à jour de sécurité automatiques installées dans un délai approprié, activées par défaut, avec un mécanisme de retrait clair et facile à utiliser, par la notification des mises à jour disponibles aux utilisateurs et par la possibilité de les reporter temporairement ;
- assurent la protection contre l'accès non autorisé par des mécanismes de contrôle appropriés, y compris, mais sans s'y limiter, des systèmes d'authentification, de gestion de l'identité ou de l'accès, et signaler tout accès non autorisé éventuel ;
- protègent la confidentialité des données stockées, transmises ou traitées d'une autre manière, qu'elles soient personnelles ou autres, notamment en cryptant les données pertinentes au repos ou en transit au moyen de mécanismes conformes à l'état de l'art, et en utilisant d'autres moyens techniques ;
- protègent l'intégrité des données stockées, transmises ou traitées d'une autre manière, qu'elles soient personnelles ou autres, des commandes, des programmes et de la configuration contre toute manipulation ou modification non autorisée par l'utilisateur, et signaler les altérations ;
- traitent uniquement les données, personnelles ou autres, qui sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité prévue du produit ("minimisation des données")
- protègent la disponibilité des fonctions essentielles et de base, y compris après un incident, notamment par la résilience et des mesures d'atténuation contre les attaques par déni de service ;
- minimisent l'impact négatif d'eux-mêmes ou des dispositifs connectés sur la disponibilité des services fournis par d'autres dispositifs ou réseaux ;
- sont conçus, développés et produits de manière à limiter les surfaces d'attaque, y compris les interfaces externes ;
- sont conçus, développés et produits pour réduire l'impact d'un incident à l'aide de mécanismes et de techniques appropriés d'atténuation de l'exploitation des vulnérabilités ;
- fournissent des informations relatives à la sécurité en enregistrant et/ou en surveillant les activités internes pertinentes, y compris l'accès aux données, services ou fonctions ou leur modification, avec un mécanisme d'exclusion sélectif par l'utilisateur ;
- donnent aux utilisateurs la possibilité de supprimer, de façon permanente, sûre et facile, toutes les données et tous les paramètres et, lorsque ces données peuvent être transférées à d'autres produits ou systèmes, veiller à ce que cela se fasse de façon sûre.
Les exigences essentielles : la gestion des vulnérabilités
Les produits comportant des éléments numériques doivent être livrés sans aucune vulnérabilité exploitable connue pendant une période de 5 ans (Art. 10.6).
Une analyse périodique des vulnérabilités semble également pertinente, dès lors que les obligations en matière de communication d’informations incombant aux fabricants incluent la notification de toute vulnérabilité activement exploitée à l’ENISA sous 24 heures (Art. 11).
Les fabricants des produits comportant des éléments numériques doivent :
Une analyse périodique des vulnérabilités semble également pertinente, dès lors que les obligations en matière de communication d’informations incombant aux fabricants incluent la notification de toute vulnérabilité activement exploitée à l’ENISA sous 24 heures (Art. 11).
Les fabricants des produits comportant des éléments numériques doivent :
- identifier et documenter les vulnérabilités et les composants contenus dans le produit, notamment en établissant une nomenclature logicielle dans un format couramment utilisé et lisible par machine, couvrant au moins les dépendances de premier niveau du produit ;
- en ce qui concerne les risques posés par les produits comportant des éléments numériques, traiter les vulnérabilités et y remédier sans délai, notamment en fournissant des mises à jour de sécurité ; lorsque cela est techniquement possible, les nouvelles mises à jour de sécurité sont fournies séparément des mises à jour de fonctionnalité ;
- appliquer des tests et des examens efficaces et réguliers de la sécurité du produit contenant des éléments numériques ;
- une fois qu'une mise à jour de sécurité a été mise à disposition, partager et rendre publiques les informations sur les vulnérabilités corrigées, y compris une description des vulnérabilités, des informations permettant aux utilisateurs d'identifier le produit contenant des éléments numériques affecté, les incidences des vulnérabilités, leur gravité et des informations claires et accessibles aidant les utilisateurs à remédier aux vulnérabilités ; dans des cas dûment justifiés, lorsque les fabricants considèrent que les risques de sécurité de la publication l'emportent sur les avantages en matière de sécurité, ils peuvent retarder la publication d'informations concernant une vulnérabilité corrigée jusqu'à ce que les utilisateurs aient eu la possibilité d'appliquer le correctif correspondant ;
- mettre en place et appliquer une politique de divulgation coordonnée des vulnérabilités ;
- prendre des mesures pour faciliter le partage d'informations sur les vulnérabilités potentielles de leur produit contenant des éléments numériques ainsi que des composants tiers contenus dans ce produit, notamment en fournissant une adresse de contact pour le signalement des vulnérabilités découvertes dans le produit contenant des éléments numériques ;
- prévoir des mécanismes de distribution sécurisée des mises à jour pour les produits contenant des éléments numériques afin de garantir que les vulnérabilités sont corrigées ou atténuées en temps utile et, le cas échéant, pour les mises à jour de sécurité, de manière automatique ;
- veiller à ce que, lorsque des mises à jour de sécurité sont disponibles pour remédier à des problèmes de sécurité identifiés, elles soient diffusées sans délai et, sauf accord contraire entre le fabricant et l'utilisateur professionnel en ce qui concerne un produit sur mesure comportant des éléments numériques, gratuitement, accompagnées de messages consultatifs fournissant aux utilisateurs les informations pertinentes, y compris sur les mesures potentielles à prendre.
Le règlement proposé s’appliquera à tous les produits comportant des éléments numériques dont l’utilisation prévue et raisonnablement prévisible comprend une connexion logique ou physique directe ou indirecte à un appareil ou à un réseau.
En vertu des exigences et obligations essentielles en matière de cybersécurité, tous les produits comportant des éléments numériques ne peuvent être mis à disposition sur le marché que si, lorsqu’ils sont dûment fournis, correctement installés, entretenus et utilisés conformément à leur utilisation prévue ou dans des conditions raisonnablement prévisibles, ils satisfont aux exigences essentielles en matière de cybersécurité énoncées dans la proposition du présent règlement.
Afin de laisser aux fabricants, aux organismes notifiés et aux États membres le temps de s’adapter aux nouvelles exigences, le règlement proposé deviendra applicable 24 mois après son entrée en vigueur, à l’exception de l’obligation de signalement pour les fabricants, qui s’appliquera 12 mois après la date d’entrée en vigueur.
Pour répondre à ces exigences, ISIT propose un panel de produits et services :
- Formations Cybersécurité logiciels et systèmes embarqués et normes de sûreté de fonctionnement comme la DO-178, DO-254, IEC 61508, IEC 62304, ISO 26262, ISO 21434 …
- Accompagnement à la certification IEC 61508 d’un projet, rédaction du Plan d’Assurance Qualité Logiciel
- Suivi de la traçabilité des exigences au travers de l’outil de Gestion des Exigences Polarion ALM - Siemens Digital Industries Software ou du module de la suite LDRA TBmanager
- Vérification de règles de codage et de métriques de qualité de code par l’Analyse Statique Syntaxique de LDRA TBvision Static / LDRArules
- Détection de bugs et d’erreurs « Runtime » grâce à l’Analyse Statique Avancée de GrammaTech CodeSonar et CodeSentry
- Automatisation des tests unitaires et d’Intégration avec LDRA TBrun / LDRAunit
- Mesure de la couverture structurelle avec LDRA TBvision Dynamic / LDRAcover
- Audits de code source et binaire
Ces articles peuvent vous intéresser
La cybersécurité dans les applications industrielles IEC62443
LIVRE BANC à télécharger : La production et l'informatique sont de plus en plus indissociables. C'est pourquoi la cybersécurité revêt une importance croissante dans le domaine de la communication industrielle.
Sécuriser les Objets IoT en 4 Étapes
L’évolution de l’Internet des Objets connectés (IoT), du Big Data, du Machine-To-Machine (M2M), des communications sans fil, entraine une vraie tempête technologique pour les équipes de développement. Avec un marché futur estimé aux environs de 50 milliards d’objets connectés d’ici 2025, le nombre de connexions, tous marchés confondus, ne cessera de doubler tous les 4 à 5 ans.
IHM embarquée : Pourquoi devriez-vous inclure le rendu hybride dans votre projet IoT ?
Si vous n'avez jamais entendu le terme « rendu hybride », c'est parce qu'il est relativement récent. D'une manière générale, le rendu hybride génère des graphiques en utilisant plusieurs chemins distincts à travers le silicium. Un exemple est la création d'images de film CGI en utilisant à la fois un GPU et un processeur. Cependant, chez Crank Software, le terme est utilisé pour quelque chose de beaucoup plus utile pour les développeurs et les concepteurs d’applications embarquées : créer une interface utilisateur avec plusieurs types d’accélérateurs graphiques.
7 étapes pour sécuriser les systèmes embarqués connectés
Ne laissez pas la sécurité au hasard : adoptez une approche proactive pour protéger vos systèmes !